<div dir="ltr"><div>1. We can ask people to submit questions, or simply have a form on the web site for anyone to anonymously submit questions. They don&#39;t have to be project volunteers. We (see #2) can edit questions and answers to refine them as well as writing some ourselves. There may also be free resources of applicable questions from which we can draw to modify for our use. Of course, this all depends on if our cert will be purely question-based.</div>

<div>&nbsp;</div>
<div>2. I think we need to have something like an NDA for people who are privy to questions they did not submit. Anyone who sees a significant portion of the questions, especially with answers, should not be sharing them, copying files with them in it, etc. and we should not assume that just because they are given the info/access or participating in this project that they agree not to do that. A &#39;legal&#39; document with a real signature will allow the Foundation to pursue action to compensate for damaging the cert if someone does. Ask Jeff perhaps, he&#39;s the the law man. Also, we might want to entertain the idea that no one person has access to all the questions. If we don&#39;t I think we have to accept that anyone who does can&#39;t be certified.</div>

<div>&nbsp;</div>
<div>3. Not to sound un-PC but can you explain how you came up with that particular list of regions and countries? OWASP is free for anyone to participate anywhere in the world regardless of any diversity factors, but&nbsp;I don&#39;t think it&#39;s part of OWASP&#39;s mission to make a point of being diverse.&nbsp;Most projects are free for anyone to participate, or not participate&nbsp;in.&nbsp;OWASP keeps statistics (not 100% accurate, but still) on local chapters (see for example <a href="http://www.owasp.org/apps/maps/index.jsp" target="_blank">http://www.owasp.org/apps/maps/index.jsp</a>), according to which there&#39;s one single person from all of Africa, for example. I think rather than &#39;making sure&#39; we have geographically diverse participation, we should simply post a message to owasp-leaders and/or on the web site main/news page&nbsp;calling for volunteers from outside the U.S. If we get some, great, but if not that&#39;s probably alright.</div>

<div>&nbsp;</div>
<div>Matt</div>
<div>&nbsp;</div>
<div>&nbsp;</div>
<div><span lang="EN"><span lang="EN">
<p>_____ </p>
<p></p></span>From: owasp-cert-bounces at <a href="http://lists.owasp.org/" target="_blank">lists.owasp.org</a> 
<p>[mailto:<a href="mailto:owasp-cert-bounces" target="_blank">owasp-cert-bounces</a> at <a href="http://lists.owasp.org/" target="_blank">lists.owasp.org</a>] On Behalf Of</p>
<p>james at <a href="http://architectbook.com/" target="_blank">architectbook.com</a></p>
<p>Sent: Monday, July 21, 2008 8:30 PM</p>
<p>To: owasp-cert at <a href="http://lists.owasp.org/" target="_blank">lists.owasp.org</a></p>
<p>Subject: [Owasp-cert] Principles and Perspectives</p>
<p>&nbsp;</p>
<p>1. 50 people writing one question each will yield a better question pool</p>
<p>than one person writing 50 questions. So, how do we get more contributors?</p>
<p>2. I really, really, really, really hate the notion of NDAs but does it make</p>
<p>sense to not have one for this type of process? The importance of not</p>
<p>sharing information on exam content is vital to the success of the OWASP</p>
<p>certification but NDAs are at odds with openness. Any suggestions?</p>
<p>3. Diversity is really important to me and I would like to make sure that we</p>
<p>have at least one person from each of these geographic areas:</p>
<p>- Africa and Mediterranean countries, the Middle East, East Asia (Chian,</p>
<p>Hong Kong, Taiwan, etc), Japan, South America (Brazil, Colombia, Peru,</p>
<p>Venezuela, etc), Australia and New Zealand and Southeast Asia (Indonesia,</p>
<p>Malaysia, Philippines, Singapore, Thailand, Vietnam). OWASP is an</p>
<p>international organization and have worldwide participation can only serve</p>
<p>to benefit.</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>-------------- next part --------------</p>
<p>An HTML attachment was scrubbed...</p>
<p>URL: <a href="https://lists.owasp.org/pipermail/owasp-cert/attachments/20080722/085d9988/attachment.html" target="_blank">https://lists.owasp.org/pipermail/owasp-cert/attachments/20080722/085d9988/attachment.html</a> </p>

<p>From owasp at <a href="http://getmymail.org/" target="_blank">getmymail.org</a> Tue Jul 22 10:31:30 2008</p>
<p>From: owasp at <a href="http://getmymail.org/" target="_blank">getmymail.org</a> (Gary Palmer)</p>
<p>Date: Tue, 22 Jul 2008 07:31:30 -0700</p>
<p>Subject: [Owasp-cert] Marketing Idea: OWASP Certification</p>
<p>In-Reply-To: &lt;<a href="mailto:20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net" target="_blank">20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net</a>&gt;</p>

<p>References: &lt;<a href="mailto:20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net" target="_blank">20080722051606.1b34e4c3b93181cbb56b6df77bbedd57.7f3a49c54f.wbe@email.secureserver.net</a>&gt;</p>

<p>Message-ID: &lt;002a01c8ec07$a1e6e8d0$6c00a8c0@garycq&gt;</p>
<p>And interesting to note is that SANS went from online software (I think it</p>
<p>was their own) to using prometric?</p>
<p></p>
<p>Cheers,</p>
<p>Gary</p>
<p></p></span></div></div>